物理世界の常識を利用したユーザ認証：利便性と安全性を両立する革新的認証技術

2023 Fiscal Year Annual Research Report

• Project/Area Number: 23H03394
• Allocation Type: Single-year Grants
• Research Institution: Shizuoka University
• Principal Investigator: 西垣 正勝 静岡大学, 情報学部, 教授 (20283335)
• Co-Investigator(Kenkyū-buntansha): 大木 哲史 静岡大学, 情報学部, 准教授 (80537407)
• Project Period (FY): 2023-04-01 – 2028-03-31
• Keywords: ユーザ認証 / 多要素認証 / 認証/認可 / ユーザブルセキュリティ / 物理事象の多点観測

Outline of Annual Research Achievements

あらゆる場面で本人確認が要求されるゼロトラスト環境では、ユーザ認証の軽量化（利便性）が必要である。高度化するサイバー攻撃に抗うために、ユーザ認証の強靭化（安全性）が必須である。ユーザ認証の利便性と安全性のトレードオフは、生体認証・パスワードレス認証・多要素認証をもってしても未解決な深刻な問題である。この課題に対し本研究では、「ユーザの意思表示」を物理事象として捉え、「パスワード入力という物理イベントが、多点で同時に観測されること」を根拠とするユーザ認証（Physically-Conformable User Authentication：PCUA）を構築する。
提案方式では、「ユーザには操作が可能、かつ、マルウェアには操作が不可能な物理デバイスの操作」の際に生じる物理事象を利用する。物理事象であれば、そのイベントが発生した際には、その結果が周囲の複数のセンサにおいて同時に観測されるはずである。この知見に基づけば、「ユーザによるアクション」というイベントが「複数箇所で同時に観測された」という事実をもって、当該アクションが物理的に発生したという事実を確認できる。これが「認証に対するユーザの意思（ユーザが実際にログイン操作を行った）」を示す証左となる。
2023年度は、「正規ユーザによるパスワードの入力」という物理事象を、PCとスマートフォンの2点で観測することによって、ユーザのログインの意思を確認するパスワード型PCUAの設計と実装を行った。また、パスワード型PCUAをベースに、「正規ユーザによるクリックの入力」という物理事象を、PCとスマートフォンの2点で観測することによって、ユーザのログインの意思を確認するクリック型PCUAの設計と実装を行った。両者について小規模なユーザ評価を行い、その成果を国内研究会および国際会議にて発表した。

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

2023年度は、実験計画に従い、パスワード型PCUAとクリック型PCUAの設計、実装、評価を行った。設計においては、認証方式の詳細化と手順化を行った。実装においては、PC、スマートフォン、USB分配器、Bluetoothアダプタを用いてPoC（概念検証）のための実験システムを構築した。評価においては、小規模ではあるが実際にユーザ評価を行った。一連の成果を国内研究会および国際会議にて発表した。
以上より、達成度は「概ね順調に進展している」に区分されると考える。

Strategy for Future Research Activity

2024年度は前年度の研究成果を引き継いで、（１）の研究を推進する。（１）の進捗状況に応じては、（２）（３）の研究についても開始する。
（１）パスワード型PCUA、クリック型PCUAの高度化：検討およびユーザ評価を通じ、パスワード型PCUA、クリック型PCUAのアルゴリズム、手順、実装方法の改良、改善を進める。
（２）PCUA型ユーザ認証システムの拡張：パスワード型PCUA、クリック型PCUAを、他のクレデンシャル、他の認証方式に適用する。クレデンシャルに関しては、パスワード型PCAUにおける「パスワード（知識に基づく認証情報）の入力」の部分を、「スマートフォン（所有物に基づく認証情報）の提示」あるいは「顔・指紋（生体情報に基づく認証情報）の提示」に変更することを試みる。認証方式に関しては、パスワード型PCUA、クリック型PCUAを、FIDO認証（パスワードレス認証）やシングル・サインオン（ソーシャル・ログイン）に適用することを試みる。
（３）新たなCAPTCHA方式の発案：PCUA型ユーザ認証技術を用いて物理イベントの発生を捉え、人間の意志によるPCの物理操作の有無を検査することによって、CAPTCHA（Completely Automated Public Turing test to tell Computers and Humans Apart）を構築することを試みる。
（４）PCUA型ユーザ認証の利便性・安全性を高めるための新方式の発案：パスワードの記憶、入力を自動化するなどの方法により、パスワード型PCUAあるいはクリック型PCUAの利便性and/or安全性を更に高めることを試みる。

Research Products

• [Presentation] Multi-Observed Authentication: A secure and usable authentication/authorization based on multi-point observation of physical events (2024)
  • Author(s): Shinnosuke Nozaki, Takumi Takaiwa, Masahiro Fujita, Ayako Yoshimura, Tetsushi Ohki, Masakatsu Nishigaki
  • Organizer: Poster presentation in Network and Distributed System Security Symposium 2024
  • Int'l Joint Research
• [Presentation] 多点観測認証：実装と評価 (2023)
  • Author(s): 野崎真之介，髙岩拓海，藤田真浩，加藤駿，吉村礼子，大木哲史，西垣正勝
  • Organizer: 情報処理学会 マルチメディア，分散，協調とモバイルシンポジウム2023
• [Presentation] 多点観測認証：物理イベントの多点観測による利便性と安全性を両立した認証/認可方式 (2023)
  • Author(s): 野崎真之介，髙岩拓海，藤田真浩，吉村礼子，大木哲史，西垣正勝
  • Organizer: 第13回バイオメトリクスと認識・認証シンポジウム2023（ポスター発表）